iOS 17.5 wylądował dla każdego z kilkoma nowościami funkcje dostępne dla użytkownika. Aktualizacja zawiera także 15 ważnych poprawek bezpieczeństwa. Oto szczegółowe informacje na temat wszystkiego, co zostało załatane.
Firma Apple udostępniła na swojej stronie szczegóły dotyczące poprawek luk w zabezpieczeniach systemu iOS 17.5 Witryna z aktualizacjami zabezpieczeń.
Na szczęście żadna z 15 poprawek nie została zgłoszona jako wykorzystana wcześniej.
Jednak nadal ważne jest, aby zainstalować aktualizację i pobrać te poprawki tak szybko, jak to możliwe. Niektóre z tych luk mogą umożliwić osobie atakującej dostęp do danych użytkownika i wykonanie dowolnego kodu z uprawnieniami jądra.
Jakie są poprawki bezpieczeństwa iOS 17.5?
Oto niektóre aplikacje/systemy iOS, które otrzymały poprawki:
- Znajdź mój
- Jądro
- Mapy
- Notatki
- Usługi RemoteView
- Zrzuty ekranu
- Skróty
- Kontrola głosu
- WebKita
Pojawiły się także aktualizacje zawierające poprawki dla App Store, Face ID, pobierania Safari i nie tylko.
Sprawdź, co nowego w systemie iOS 17.5 i pełne uwagi do wydania aktualizacji zabezpieczeń poniżej:
AppleAVD
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: aplikacja może wykonać dowolny kod z uprawnieniami jądra
Opis: problem naprawiono przez poprawienie obsługi pamięci.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Integralność AppleMobileFile
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: osoba atakująca może uzyskać dostęp do danych użytkownika
Opis: naprawiono błąd logiczny przez ulepszone kontrole.
CVE-2024-27816: Mickey Jin (@patch1t)
AVEVideoEnkoder
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: aplikacja może ujawnić pamięć jądra
Opis: problem naprawiono przez poprawienie obsługi pamięci.
CVE-2024-27841: anonimowy badacz
Znajdź mój
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: złośliwa aplikacja może określić bieżącą lokalizację użytkownika
Opis: naprawiono problem dotyczący prywatności poprzez przeniesienie poufnych danych do bezpieczniejszej lokalizacji.
CVE-2024-27839: Alexander Heinrich, SEEMOO, TU Darmstadt (@Sn0wfreeze) i Shai Mishali (@freak4pc)
Jądro
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: osoba atakująca może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu
Opis: problem naprawiono przez poprawienie obsługi pamięci.
CVE-2024-27818: wzór-f (@pattern_F_) z Ant Security Light-Year Lab
Libsystem
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: aplikacja może uzyskać dostęp do chronionych danych użytkownika
Opis: naprawiono błąd z uprawnieniami przez usunięcie podatnego kodu i dodanie dodatkowych kontroli.
CVE-2023-42893: anonimowy badacz
Mapy
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: aplikacja może odczytać poufne informacje o lokalizacji
Opis: naprawiono błąd związany z obsługą ścieżek i poprawiono weryfikację.
CVE-2024-27810: LFY@secsys z Uniwersytetu Fudan
Zestaw Marketplace
Dostępne dla: iPhone’a XS i nowszych wersji
Zagrożenie: złośliwie spreparowana strona internetowa może rozpowszechniać skrypt śledzący użytkowników na innych stronach internetowych
Opis: naprawiono błąd związany z prywatnością przez ulepszenie obsługi identyfikatorów klientów w alternatywnych sklepach z aplikacjami.
CVE-2024-27852: Talal Haj Bakry i Tommy Mysk z Mysk Inc. (@mysk_co)
Notatki
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: osoba atakująca mająca fizyczny dostęp do urządzenia z systemem iOS może uzyskać dostęp do notatek z ekranu blokady
Opis: ten problem naprawiono przez poprawienie zarządzania stanem.
CVE-2024-27835: Andr.Ess
Usługi RemoteView
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: osoba atakująca może uzyskać dostęp do danych użytkownika
Opis: naprawiono błąd logiczny przez ulepszone kontrole.
CVE-2024-27816: Mickey Jin (@patch1t)
Zrzuty ekranu
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: osoba atakująca z dostępem fizycznym może mieć możliwość udostępniania elementów z ekranu blokady
Opis: naprawiono problem z uprawnieniami przez poprawienie sprawdzania poprawności.
CVE-2024-27803: anonimowy badacz
Skróty
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: skrót może wyświetlać poufne dane użytkownika bez jego zgody
Opis: naprawiono błąd związany z obsługą ścieżek i poprawiono weryfikację.
CVE-2024-27821: Kirin (@Pwnrin), zbleet i Csaba Fitzl (@theevilbit) z Kanji
Synchronizuj usługi
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: aplikacja może ominąć preferencje dotyczące prywatności
Opis: ten problem naprawiono przez ulepszone kontrole
CVE-2024-27847: Mickey Jin (@patch1t)
Kontrola głosu
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Skutek: osoba atakująca może być w stanie podnieść uprawnienia
Opis: problem naprawiono przez ulepszone kontrole.
CVE-2024-27796: ajajfxhj
WebKita
Dostępne dla: iPhone’a XS i nowszych, iPada Pro 12,9 cala 2. generacji i nowszych, iPada Pro 10,5 cala, iPada Pro 11 cali 1. generacji i nowszych, iPada Air 3. generacji i nowszych, iPada 6. generacji i nowszych oraz iPada mini 5. generacja i nowsze
Zagrożenie: osoba atakująca z dowolną możliwością odczytu i zapisu może ominąć uwierzytelnianie wskaźnika
Opis: problem naprawiono przez ulepszone kontrole.
Błąd pakietu WebKit: 272750
CVE-2024-27834: Manfred Paul (@_manfp) w ramach inicjatywy Zero Day Initiative firmy Trend Micro
Dodatkowe uznanie
Sklep z aplikacjami
Chcielibyśmy podziękować anonimowemu badaczowi za pomoc.
CoreHAP
Chcielibyśmy podziękować Adrianowi Cable’owi za okazaną pomoc.
Identyfikator twarzy
Chcielibyśmy podziękować Lucasowi Monteiro, Danielowi Monteiro i Felipe Monteiro za ich pomoc.
HeingCore
Chcielibyśmy podziękować anonimowemu badaczowi za pomoc.
Konfiguracja zarządzana
Chcielibyśmy podziękować daleko naprzód (@清天organizacja) za ich pomoc.
Pobieranie Safari
Chcielibyśmy podziękować Arsenii Kostrominowi (0x3c3e) za pomoc.
Pasek stanu
Chcielibyśmy podziękować Abhayowi Kailasii (@abhay_kailasia) z Lakshmi Narain College of Technology w Bhopal za pomoc.
Najlepsze zdjęcie za pośrednictwem Apple
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
